Foto met DPIA voorblad van een rapportage met vier mensen die tegen een muur leunen.
Algemeen
Laatste update 23 januari 2026

Top 5 privacyrisico's bij DPIA's

In het kader van de Dag van de Privacy heeft SURF Vendor Compliance (SVC) met haar uitgebreide ervaring de top 5 van privacyrisico's die je bij DPIA's kunt tegenkomen voor je op een rij gezet.

~ door Valerija Kornilova, juridisch adviseur privacy bij SURF Vendor Compliance

Met onze ervaring met compliancebeoordelingen bij leveranciers, hebben we een beter beeld gekregen van hoe zij omgaan met privacybescherming. Door middel van privacy- en beveiligingsbeoordelingen hebben we de interne werking geanalyseerd van systemen die dagelijks worden gebruikt door Nederlandse onderwijs- en onderzoeksinstellingen.

1. Logboekopslag en -beheer

Alle systemen moeten logboeken bijhouden van verschillende soorten digitale transacties. Deze logboeken hebben allemaal een doel, variërend van beveiliging tot verbetering van de dienstverlening. Er is een subtiel evenwicht in het bijhouden van logboeken dat een leverancier moet handhaven tussen te veel en te weinig loggen. In dit evenwicht kijken we altijd naar bewaartermijnen, gegevensminimalisatie, toegang, anonimisering, pseudonimisering en transparantie.

De risico's die we in de DPIA's identificeren, gaan over de risico's van buitensporige gegevensverzameling. Het loggen van volledige inhoudsgegevens (zoals aantekeningen en antwoorden van studenten) is ‘zelden strikt noodzakelijk’ voor het oplossen van problemen en het opsporen van misbruik. Voor het logboekbeheer is het doel om af te stappen van ‘onbeperkt’ loggen en over te stappen op een model met duidelijke bewaartermijnen, strengere toegangscontroles en technische beperkingen op de inhoud die daadwerkelijk wordt opgeslagen.

2. Onvolledige lijsten van subverwerkers

Lijsten van subverwerkers geven niet altijd een getrouw beeld van de daadwerkelijke verwerking door derden, waardoor er hiaten ontstaan in de transparantie en verantwoordingsplicht. SVC identificeert mogelijk ontbrekende subverwerkers door de opgegeven lijsten van subverwerkers te vergelijken met de resultaten van ons technisch onderzoek, door cookies en endpoints te onderzoeken.

Er zijn verschillende redenen waarom een subverwerker mogelijk niet is gedocumenteerd. In sommige gevallen beoordeelt de leverancier niet opnieuw of deze derden in aanmerking komen als subverwerkers. In andere gevallen ontbreken in de documentatie actuele technische of organisatorische wijzigingen, zoals de introductie van nieuwe diensten of externe ondersteuningsproviders.

Een van de maatregelen die we een van de leveranciers adviseerden, is om transparantie te bieden over de toepasselijke subverwerkers door een volledige lijst bij te houden en ervoor te zorgen dat alle door de subverwerker verwerkte persoonsgegevens worden vermeld. De leverancier werkt nu aan een volledige lijst en heeft toegezegd deze te verstrekken. Veel leveranciers hebben te maken met soortgelijke problemen.

3. Onvolledig antwoord op inzageverzoeken

Vaak faciliteert een leverancier de processen voor inzageverzoeken, maar uit DPIA's blijkt dat systemen gefragmenteerd zijn wat leidt tot ontbrekende gegevens of dat er handmatig moet worden gewerkt. Dat kan leiden tot een onvolledig antwoord. In bijna alle gevallen voert SVC onderhandelingen met de leveranciers om uit te leggen waarom het belangrijk is een volledig antwoord (met alle gegevens) belangrijk is om te voldoen aan de AVG.

Leveranciers treden doorgaans op als gegevensverwerkers, wat hun verantwoordelijkheden beperkt. Ze blijven echter verantwoordelijk voor het verlenen van bijstand aan de verwerkingsverantwoordelijke. Dit omvat het bieden van volledige ondersteuning voor inzageverzoeken, zodat de verwerkingsverantwoordelijke aan een betrokkene de volledige en uitgebreide lijst van persoonsgegevens kan verstrekken die door een leverancier worden verwerkt.

Tijdens onze DPIA met een van de leveranciers stuitten we op een probleem hiermee. Het antwoord op het inzageverzoek bevatte geen informatie over de specifieke tekstuele inhoud van inzendingen (het ging om de tekst die was ingevoerd voor een opdracht of quizantwoorden). Hoewel de inzagetool van de leverancier efficiënt en effectief is, stemde de leverancier ermee in om een beter overzicht te bieden, zodat verwerkingsverantwoordelijken alle persoonsgegevens gemakkelijk met de betrokkenen kunnen delen.

4. Onduidelijke of buitensporige bewaartermijnen

Persoonsgegevens worden vaak ‘voor het geval dat’ bewaard, zonder gedocumenteerde rechtvaardiging. In sommige gevallen zijn de bewaartermijnen niet buitensporig, maar zijn ze onvoldoende gedefinieerd of configureerbaar binnen het systeem of de documentatie van de leverancier. In dit geval ontbreekt een duidelijke uitleg over het doel van deze lange bewaartermijnen.

Een voorbeeld uit de Copilot DPIA is dat Microsoft het doel van bepaalde bewaartermijnen voor gegevens niet duidelijk heeft gedefinieerd. Dit creëerde het risico van heridentificatie van gepseudonimiseerde gegevens door onbekende feitelijke bewaartermijnen van vereiste servicegegevens (inclusief zowel inhouds- als diagnosegegevens).

5. Ongeautoriseerde toegang tot de persoonsgegevens

Het risico betreft de ongeautoriseerde blootstelling van persoonsgegevens, of zoals in het geval van TOPdesk, de blootstelling van bijzondere categorieën persoonsgegevens. Technisch onderzoek heeft aangetoond dat applicatiebeheerders aanzienlijk minder terughoudend waren in testomgevingen. Zij kunnen typische beveiligingsmaatregelen omzeilen of tijdens het testen toegang krijgen tot gegevenssets die zij in een live-productieomgeving nooit zouden mogen inzien. Dat betekent dat een organisatie het risico loopt op een inbreuk op de integriteit en vertrouwelijkheid van de gegevens, omdat een collega zo toegang krijgt tot gevoelige gegevens die hij niet nodig heeft voor zijn specifieke functie (testen).

Dit is een veelvoorkomend risico dat voortkomt uit het niet strikt handhaven van op rollen gebaseerde toegangscontrole (RBAC) en uit het gebruik van bredere rollen in plaats van gedetailleerde taken.

Conclusie

Het focussen op en aanpassen van deze risico's voor de onderwijssector is een belangrijke eerste stap naar het verbeteren van privacybeheer en het verminderen van het algehele risico.

Gerelateerde artikelen

Pubquiz Privacy 2026: organiseer 'm!

Wat weet men in jouw organisatie over privacybescherming? Test het nu samen met jouw collega’s met de vernieuwde Privacy Pubquiz. Speciaal ontworpen om in te zetten door privacyprofessionals in onderwijs...

Geüpdatet op
Laatste update 20 januari 2026

Algemeen

Schot in de roos - pubquiz

SURF's Privacy Pubquiz Challenge: doe mee!

Als medewerker kun je online meedoen met de individuele SURF Pubquiz Challenge. Doe mee en wie weet win je een privacyvriendelijk prijsje!

Geüpdatet op
Laatste update 23 januari 2026

Algemeen

pubquiz challenge

Een DPIA is zo eenvoudig nog niet

Het maken van een DPIA is een intensieve en tijdrovende klus. In de onderwijssector richten we ons op samenwerking, om het sneller en beter te kunnen. Welke issues gaan we...

Geüpdatet op
Laatste update 20 januari 2026

Vernieuwing

DPIA-planbord